IT風險管理正處于十字路口。有超過2000名美國受訪者參加了最近的一次IT專業(yè)人士ISACA調(diào)查，據(jù)調(diào)查報告顯示，改善經(jīng)營業(yè)績是驅(qū)動他們所在組織IT風險管理的主要動力。在印度和澳大利亞/新西蘭的類似調(diào)查報告也發(fā)現(xiàn)，驅(qū)動力從法規(guī)遵從轉(zhuǎn)向了經(jīng)營業(yè)績。通過比較可以看到，法規(guī)遵從被認為是風險管理的首要驅(qū)動力，占受訪人群的20%到28%，不同的國家比例略有不同。

對于IT風險管理者來說，這是一個絕好的機會，他們可以證明IT對業(yè)務有更多的影響，尤其是在經(jīng)濟危機影響壓力較大的國家。

要利用好這個機會，主動的IT風險管理者可以采取下面五個步驟：

從業(yè)務方面開始。要帶來業(yè)績方面的益處，需要在IT風險方面投入精力，因為它們與業(yè)務目標密切相關。

定義風險評估范圍。要針對給客戶提供服務的業(yè)務活動建立框架，而不是針對技術(shù)。

尋找愿景。對業(yè)務資產(chǎn)和資源的威脅，從更寬泛的范圍來看待。

使你的工作更容易。廣泛利用已經(jīng)采納的方法和技術(shù)來評估和應對風險。不要重新發(fā)明輪子。

把要做的事說清楚。如果你對業(yè)務進行關注，請一定讓業(yè)務領導搞清楚。要使用業(yè)務的語言清楚地表達你的計劃和成就。

面對新法律和法規(guī)的大肆鼓吹，企業(yè)部門命名都顯得與“合規(guī)和風險”有關，這樣的調(diào)查結(jié)果多少有點出人意料。與合規(guī)遵守方面的壓力一樣大，企業(yè)領導會緊緊抓住機會，而不是在經(jīng)營業(yè)績背后強調(diào)IT風險管理。從華爾街的報告中可以很清楚地看到，削減成本的盈利方式并沒有滿足投資者期待的收入增長。標準普爾500指數(shù)從年初至今基本持平。此外，成本削減增加了自身風險。

要實施第一步，CEO和關注收入增長的首席財務官（CFO）為IT風險管理者變成為IT業(yè)務風險管理者提供了一個起步點。請為你的企業(yè)（跟你的角色有關，也可能是部門）評估業(yè)務績效報告和當前IT風險報告。要看看從業(yè)務績效度量到IT業(yè)務風險存在明確的聯(lián)系嗎？業(yè)績度量包括銷量，客戶滿意度，產(chǎn)品發(fā)布時間以及諸如擴張、收購和兼并等策略的成功。

對于業(yè)務線，職能部門和區(qū)域主管也有度量，他們被據(jù)此評估并支付獎金。要把這些實實在在的措施映射成IT必須做的事情，來支持他們。然后確定對于業(yè)績與IT相關的風險。例如，市場份額增長可能依賴于新的銷售和支持渠道。這可能依賴于移動客戶服務應用程序，它依賴于整個IT堆棧。

第二步的基礎是由IT績效經(jīng)營業(yè)務目標的這種依賴分析和IT對業(yè)績的相關風險提供的。什么樣的風險評估范圍可以給你更多幫助呢？應該從諸如網(wǎng)絡或者數(shù)據(jù)存儲這類技術(shù)角度構(gòu)建風險框架嗎？或者，是不是面向針對市場份額增長策略建立風險框架更強大呢？因為你可以向首席營銷官，CFO以及其他高度關注業(yè)務成功的人展示成果。

第三步涉及檢查對業(yè)務資產(chǎn)范圍（包括IT堆棧）的更廣范圍的威脅，用來提交風險評估范圍的商業(yè)利益。對于IT風險管理者來說，這可能是最困難的轉(zhuǎn)換，這些管理者是從管理IT豎井中的風險（比如：項目管理、安全、恢復或者變更管理）中提升而來。現(xiàn)狀，管理者必須評估來自各方面的威脅，包括自然的，惡意的，意外發(fā)生的，以及業(yè)務量來源的威脅；要針對真?zhèn)€IT堆棧進行考慮，包括：應用程序、中間件、服務器、數(shù)據(jù)、存儲、網(wǎng)絡、設施以及IT管理流程和軟件工具。

第四步：使你的生活更輕松。有太多的企業(yè)都在重新發(fā)明輪子，建立他們自己的風險管理框架來定義一組合規(guī)要求。當這些合規(guī)需求發(fā)生變化時，風險框架中的硬編碼也需要相應改變。此外，對于每個IT豎井，對于整個IT風險的傘狀管理，組織可以利用由專業(yè)組織和標準制定機構(gòu)提供的一些開放的業(yè)界實踐和指導。這些工作最好是基于同行評審進行，并經(jīng)常更新，還要培訓和建立活躍的用戶社區(qū)。

最后，要獎勵在“身體力行”經(jīng)營業(yè)績之路中所有良好的表現(xiàn)，記得要與業(yè)務方面“交流”。當你尋求業(yè)務案例來支持和報告結(jié)果時，你應該就業(yè)務目標的實現(xiàn)加上評論內(nèi)容，這是與第一步相對應的。同樣的對應關系現(xiàn)在可以使主管們更容易理解“這對于我意味著什么”，同時認識到你的努力如何給他們帶來了收入增長。